33+ குபெர்னெட்ஸ் பாதுகாப்பு கருவிகள்

குறிப்பு. மொழிபெயர்: Kubernetes-அடிப்படையிலான உள்கட்டமைப்பில் பாதுகாப்பைப் பற்றி நீங்கள் யோசிக்கிறீர்கள் என்றால், Sysdig இன் இந்த சிறந்த கண்ணோட்டம் தற்போதைய தீர்வுகளை விரைவாகப் பார்ப்பதற்கு ஒரு சிறந்த தொடக்க புள்ளியாகும். இது நன்கு அறியப்பட்ட சந்தை வீரர்களின் சிக்கலான அமைப்புகள் மற்றும் ஒரு குறிப்பிட்ட சிக்கலைத் தீர்க்கும் மிகவும் எளிமையான பயன்பாடுகள் இரண்டையும் உள்ளடக்கியது. கருத்துக்களில், எப்போதும் போல, இந்தக் கருவிகளைப் பயன்படுத்திய உங்கள் அனுபவத்தைப் பற்றி அறிந்து மற்ற திட்டங்களுக்கான இணைப்புகளைப் பார்ப்பதில் நாங்கள் மகிழ்ச்சியடைவோம்.

குபெர்னெட்ஸ் பாதுகாப்பு மென்பொருள் தயாரிப்புகள்... அவற்றில் பல உள்ளன, ஒவ்வொன்றும் அதன் சொந்த இலக்குகள், நோக்கம் மற்றும் உரிமங்கள்.

அதனால்தான் இந்தப் பட்டியலை உருவாக்கி, வெவ்வேறு விற்பனையாளர்களிடமிருந்து திறந்த மூல திட்டங்கள் மற்றும் வணிகத் தளங்கள் இரண்டையும் சேர்க்க முடிவு செய்துள்ளோம். உங்கள் குறிப்பிட்ட குபெர்னெட்ஸ் பாதுகாப்புத் தேவைகளின் அடிப்படையில் மிகவும் ஆர்வமுள்ளவற்றைக் கண்டறிந்து சரியான திசையில் உங்களைச் சுட்டிக்காட்ட இது உதவும் என்று நம்புகிறோம்.

வகை

பட்டியலை வழிசெலுத்துவதை எளிதாக்க, கருவிகள் முக்கிய செயல்பாடு மற்றும் பயன்பாட்டின் மூலம் ஒழுங்கமைக்கப்படுகின்றன. பின்வரும் பிரிவுகள் பெறப்பட்டன:

• குபெர்னெட்ஸ் பட ஸ்கேனிங் மற்றும் நிலையான பகுப்பாய்வு;
• இயக்க நேர பாதுகாப்பு;
• குபெர்னெட்ஸ் நெட்வொர்க் பாதுகாப்பு;
• பட விநியோகம் மற்றும் இரகசிய மேலாண்மை;
• குபெர்னெட்ஸ் பாதுகாப்பு தணிக்கை;
• விரிவான வணிக தயாரிப்புகள்.

வாருங்கள் நம் வேலையை தொடங்குவோம்:

குபெர்னெட்ஸ் படங்களை ஸ்கேன் செய்கிறது

நங்கூரம்

• வலைத்தளம்: anchore.com
• உரிமம்: இலவசம் (அப்பாச்சி) மற்றும் வணிகச் சலுகை

ஆங்கர் கண்டெய்னர் படங்களை பகுப்பாய்வு செய்கிறது மற்றும் பயனர் வரையறுக்கப்பட்ட கொள்கைகளின் அடிப்படையில் பாதுகாப்பு சோதனைகளை அனுமதிக்கிறது.

CVE தரவுத்தளத்தில் இருந்து அறியப்பட்ட பாதிப்புகளுக்கு கண்டெய்னர் படங்களை வழக்கமான ஸ்கேன் செய்வதோடு, ஆங்கர் அதன் ஸ்கேனிங் கொள்கையின் ஒரு பகுதியாக பல கூடுதல் சோதனைகளைச் செய்கிறது: Dockerfile, நற்சான்றிதழ் கசிவுகள், பயன்படுத்தப்படும் நிரலாக்க மொழிகளின் தொகுப்புகள் (npm, maven போன்றவை. .), மென்பொருள் உரிமங்கள் மற்றும் பல .

க்ளேர்

• வலைத்தளம்: coreos.com/clair (இப்போது Red Hat இன் பயிற்சியின் கீழ்)
• உரிமம்: இலவசம் (அப்பாச்சி)

படத்தை ஸ்கேனிங்கிற்கான முதல் திறந்த மூல திட்டங்களில் கிளேர் ஒன்றாகும். இது குவே பட பதிவேட்டின் பின்னால் உள்ள பாதுகாப்பு ஸ்கேனர் என்று பரவலாக அறியப்படுகிறது (CoreOS இலிருந்தும் - தோராயமாக மொழிபெயர்ப்பு)கிளேரால், CVE-சார்ந்த பட்டியல்கள் உட்பட, பலதரப்பட்ட மூலங்களிலிருந்து CVE தகவல்களைச் சேகரிக்க முடிகிறது. Linuxபாதுகாப்புக் குழுக்களால் பராமரிக்கப்படும் பாதிப்புகளின் பரவல்கள் Debian, ரெட் ஹேட் அல்லது Ubuntu.

ஆங்கரைப் போலல்லாமல், Clair முதன்மையாக பாதிப்புகளைக் கண்டறிவதிலும், CVEக்களுடன் தரவைப் பொருத்துவதிலும் கவனம் செலுத்துகிறது. இருப்பினும், செருகுநிரல் இயக்கிகளைப் பயன்படுத்தி செயல்பாடுகளை விரிவாக்குவதற்கு தயாரிப்பு பயனர்களுக்கு சில வாய்ப்புகளை வழங்குகிறது.

தக்தா

• வலைத்தளம்: github.com/eliasgranderubio/dagda
• உரிமம்: இலவசம் (அப்பாச்சி)

Dagda அறியப்பட்ட பாதிப்புகள், ட்ரோஜான்கள், வைரஸ்கள், தீம்பொருள் மற்றும் பிற அச்சுறுத்தல்களுக்கான கொள்கலன் படங்களின் நிலையான பகுப்பாய்வு செய்கிறது.

இரண்டு குறிப்பிடத்தக்க அம்சங்கள் தாக்டாவை மற்ற ஒத்த கருவிகளிலிருந்து வேறுபடுத்துகின்றன:

• இது செய்தபின் ஒருங்கிணைக்கிறது ClamAV உருவாகிறது, கண்டெய்னர் படங்களை ஸ்கேன் செய்வதற்கான கருவியாக மட்டுமல்லாமல், வைரஸ் தடுப்பு மருந்தாகவும் செயல்படுகிறது.
• டோக்கர் டீமானிடமிருந்து நிகழ்நேர நிகழ்வுகளைப் பெறுவதன் மூலமும், ஃபால்கோவுடன் ஒருங்கிணைப்பதன் மூலமும் இயக்க நேர பாதுகாப்பை வழங்குகிறது. (கீழே பார்) கொள்கலன் இயங்கும் போது பாதுகாப்பு நிகழ்வுகளை சேகரிக்க.

குபேஎக்ஸ்ரே

• வலைத்தளம்: github.com/jfrog/kubexray
• உரிமம்: இலவசம் (அப்பாச்சி), ஆனால் JFrog Xray இலிருந்து தரவு தேவை (வணிக தயாரிப்பு)

KubeXray, Kubernetes API சேவையகத்திலிருந்து நிகழ்வுகளைக் கேட்கிறது, மேலும் JFrog Xray இலிருந்து மெட்டாடேட்டாவைப் பயன்படுத்தி, தற்போதைய கொள்கையுடன் பொருந்தக்கூடிய காய்கள் மட்டுமே தொடங்கப்படுவதை உறுதி செய்கிறது.

KubeXray புதிய அல்லது புதுப்பிக்கப்பட்ட கண்டெய்னர்களை வரிசைப்படுத்தல்களில் தணிக்கை செய்வது மட்டுமல்லாமல் (குபெர்னெட்ஸில் உள்ள சேர்க்கை கட்டுப்படுத்தியைப் போன்றது), ஆனால் புதிய பாதுகாப்புக் கொள்கைகளுக்கு இணங்க இயங்கும் கொள்கலன்களைச் சரிபார்க்கிறது, பாதிக்கப்படக்கூடிய படங்களைக் குறிப்பிடும் ஆதாரங்களை நீக்குகிறது.

ஸ்னிக்

• வலைத்தளம்: snyk.io
• உரிமம்: இலவச (அப்பாச்சி) மற்றும் வணிக பதிப்புகள்

Snyk என்பது ஒரு அசாதாரண பாதிப்பு ஸ்கேனர் ஆகும், இது குறிப்பாக வளர்ச்சி செயல்முறையை குறிவைக்கிறது மற்றும் டெவலப்பர்களுக்கான "அத்தியாவசிய தீர்வாக" விளம்பரப்படுத்தப்படுகிறது.

Snyk நேரடியாக குறியீடு களஞ்சியங்களுடன் இணைக்கிறது, திட்ட மேனிஃபெஸ்டைப் பாகுபடுத்துகிறது மற்றும் நேரடி மற்றும் மறைமுக சார்புகளுடன் இறக்குமதி செய்யப்பட்ட குறியீட்டை பகுப்பாய்வு செய்கிறது. Snyk பல பிரபலமான நிரலாக்க மொழிகளை ஆதரிக்கிறது மற்றும் மறைக்கப்பட்ட உரிம அபாயங்களை அடையாளம் காண முடியும்.

ட்ரிவி

• வலைத்தளம்: github.com/knqyf263/trivy
• உரிமம்: இலவசம் (ஏஜிபிஎல்)

டிரிவி என்பது சிஐ/சிடி பைப்லைனில் எளிதாக ஒருங்கிணைக்கும் கொள்கலன்களுக்கான எளிய ஆனால் சக்திவாய்ந்த பாதிப்பு ஸ்கேனர் ஆகும். அதன் குறிப்பிடத்தக்க அம்சம் அதன் நிறுவல் மற்றும் செயல்பாட்டின் எளிமை: பயன்பாடு ஒரு பைனரியைக் கொண்டுள்ளது மற்றும் தரவுத்தளத்தை அல்லது கூடுதல் நூலகங்களை நிறுவ தேவையில்லை.

ட்ரிவியின் எளிமையின் எதிர்மறையானது, JSON வடிவத்தில் முடிவுகளை எவ்வாறு அலசுவது மற்றும் அனுப்புவது என்பதை நீங்கள் கண்டுபிடிக்க வேண்டும், இதனால் மற்ற குபெர்னெட்ஸ் பாதுகாப்பு கருவிகள் அவற்றைப் பயன்படுத்த முடியும்.

குபெர்னெட்ஸில் இயக்க நேர பாதுகாப்பு

ஃபால்கோ

• வலைத்தளம்: falco.org
• உரிமம்: இலவசம் (அப்பாச்சி)

ஃபால்கோ என்பது கிளவுட் இயக்க நேர சூழல்களைப் பாதுகாப்பதற்கான கருவிகளின் தொகுப்பாகும். திட்ட குடும்பத்தின் ஒரு பகுதி சி.என்.சி.எஃப்.

கர்னல் மட்டத்தில் வேலை செய்ய Sysdig கருவிகளைப் பயன்படுத்துதல் Linux சிஸ்டம் கால் புரொஃபைலிங் மற்றும் கண்காணிப்பின் மூலம், ஃபால்கோ சிஸ்டத்தின் நடத்தையை ஆழமாக ஆராய அனுமதிக்கிறது. அதன் ரன்டைம் ரூல்ஸ் எஞ்சின், அப்ளிகேஷன்கள், கண்டெய்னர்கள், அடிப்படை ஹோஸ்ட் மற்றும் குபெர்னெட்டஸ் ஆர்கெஸ்ட்ரேட்டர் ஆகியவற்றில் உள்ள சந்தேகத்திற்கிடமான செயல்பாடுகளைக் கண்டறியும் திறன் கொண்டது.

இந்த நோக்கங்களுக்காக Kubernetes முனைகளில் சிறப்பு முகவர்களைப் பயன்படுத்துவதன் மூலம் Falco இயக்க நேரம் மற்றும் அச்சுறுத்தல் கண்டறிதலில் முழுமையான வெளிப்படைத்தன்மையை வழங்குகிறது. இதன் விளைவாக, கொள்கலன்களில் மூன்றாம் தரப்பு குறியீட்டை அறிமுகப்படுத்துவதன் மூலமோ அல்லது சைட்கார் கொள்கலன்களைச் சேர்ப்பதன் மூலமோ அவற்றை மாற்ற வேண்டிய அவசியமில்லை.

பாதுகாப்பு கட்டமைப்புகள் Linux இயக்க நேரத்திற்கு

இவை மையப்பகுதிக்கு இயல்பானவை Linux கட்டமைப்புகள் என்பவை பாரம்பரிய அர்த்தத்தில் "குபெர்னெட்டஸ் பாதுகாப்பு கருவிகள்" அல்ல, ஆனால் குபெர்னெட்டஸ் பாட் பாதுகாப்பு கொள்கையில் (PSP) சேர்க்கப்பட்டுள்ள இயங்குநேரப் பாதுகாப்பின் சூழலில் அவை ஒரு முக்கிய அங்கமாக இருப்பதால், அவற்றைக் குறிப்பிடுவது அவசியமாகும்.

AppArmor கொள்கலனில் இயங்கும் செயல்முறைகளுக்கு பாதுகாப்பு சுயவிவரத்தை இணைக்கிறது, கோப்பு முறைமை சலுகைகளை வரையறுக்கிறது, பிணைய அணுகல் விதிகள், நூலகங்களை இணைத்தல் போன்றவை. இது கட்டாய அணுகல் கட்டுப்பாட்டின் (MAC) அடிப்படையிலான அமைப்பு. வேறு வார்த்தைகளில் கூறுவதானால், இது தடைசெய்யப்பட்ட செயல்களைத் தடுக்கிறது.

பாதுகாப்பு மேம்படுத்தப்பட்டது Linux (SELinux) என்பது கெர்னலில் உள்ள ஒரு விரிவாக்கப்பட்ட பாதுகாப்பு தொகுதி ஆகும். Linuxசில அம்சங்களில் AppArmor-ஐ ஒத்திருப்பதுடன், அடிக்கடி அதனுடன் ஒப்பிடவும் படுகிறது. SELinux இது ஆற்றல், நெகிழ்வுத்தன்மை மற்றும் தனிப்பயனாக்குதல் விருப்பங்களில் AppArmor-ஐ விஞ்சுகிறது. நீண்ட கற்றல் காலம் மற்றும் அதிகரித்த சிக்கலான தன்மை ஆகியவை இதன் குறைபாடுகளாகும்.

Seccomp மற்றும் seccomp-bpf ஆனது சிஸ்டம் அழைப்புகளை வடிகட்டவும், அடிப்படை OS க்கு ஆபத்தானவை மற்றும் பயனர் பயன்பாடுகளின் இயல்பான செயல்பாட்டிற்கு தேவையில்லாதவற்றை செயல்படுத்துவதைத் தடுக்கவும் உங்களை அனுமதிக்கிறது. கன்டெய்னர்களின் பிரத்தியேகங்களை அறியாத போதிலும், சில வழிகளில் Seccomp ஃபால்கோவைப் போன்றது.

Sysdig திறந்த மூல

• வலைத்தளம்: www.sysdig.com/opensource
• உரிமம்: இலவசம் (அப்பாச்சி)

சிஸ்டிக் என்பது பகுப்பாய்வு, கண்டறிதல் மற்றும் பிழைதிருத்தம் ஆகியவற்றுக்கான ஒரு முழுமையான கருவியாகும். Linux-சிஸ்டம்ஸ் (இவற்றிலும் செயல்படும்) Windows и macOSஆனால், இதன் செயல்பாடுகள் வரம்புக்குட்பட்டவை). இதனை விரிவான தகவல் சேகரிப்பு, சரிபார்ப்பு மற்றும் தடயவியல் பரிசோதனைக்கு பயன்படுத்தலாம். (தடவியல்) அடிப்படை அமைப்பு மற்றும் அதில் இயங்கும் எந்த கொள்கலன்களும்.

சிஸ்டிக் கன்டெய்னர் ரன்டைம்கள் மற்றும் குபெர்னெட்ஸ் மெட்டாடேட்டாவை ஆதரிக்கிறது, இது சேகரிக்கும் அனைத்து கணினி நடத்தை தகவல்களுக்கும் கூடுதல் பரிமாணங்கள் மற்றும் லேபிள்களைச் சேர்க்கிறது. Sysdig ஐப் பயன்படுத்தி குபெர்னெட்ஸ் கிளஸ்டரை பகுப்பாய்வு செய்ய பல வழிகள் உள்ளன: நீங்கள் இதன் மூலம் பாயிண்ட்-இன்-டைம் கேப்சரைச் செய்யலாம். kubectl பிடிப்பு அல்லது செருகுநிரலைப் பயன்படுத்தி ncurses-அடிப்படையிலான ஊடாடும் இடைமுகத்தைத் தொடங்கவும் kubectl dig.

குபெர்னெட்ஸ் நெட்வொர்க் பாதுகாப்பு

அபோரெட்டோ

• வலைத்தளம்: www.aporeto.com
• உரிமம்: வணிக

Aporeto "நெட்வொர்க் மற்றும் உள்கட்டமைப்பிலிருந்து பிரிக்கப்பட்ட பாதுகாப்பு" வழங்குகிறது. இதன் பொருள், குபெர்னெட்ஸ் சேவைகள் உள்ளூர் ஐடியைப் பெறுவது மட்டுமல்லாமல் (அதாவது, குபெர்னெட்ஸில் உள்ள சேவைக் கணக்கு), ஆனால் ஒரு உலகளாவிய ஐடி/கைரேகையைப் பெறலாம், இது வேறு எந்த சேவையுடனும் பாதுகாப்பாகவும் பரஸ்பரமாகவும் தொடர்பு கொள்ள பயன்படுகிறது, எடுத்துக்காட்டாக, OpenShift கிளஸ்டரில்.

Aporeto ஆனது Kubernetes/கன்டெய்னர்களுக்கு மட்டுமின்றி, ஹோஸ்ட்கள், கிளவுட் செயல்பாடுகள் மற்றும் பயனர்களுக்கும் தனித்துவமான ஐடியை உருவாக்கும் திறன் கொண்டது. இந்த அடையாளங்காட்டிகள் மற்றும் நிர்வாகியால் அமைக்கப்பட்ட நெட்வொர்க் பாதுகாப்பு விதிகளின் தொகுப்பைப் பொறுத்து, தகவல்தொடர்புகள் அனுமதிக்கப்படும் அல்லது தடுக்கப்படும்.

காலிகோ

• வலைத்தளம்: www.projectcalico.org
• உரிமம்: இலவசம் (அப்பாச்சி)

Calico பொதுவாக ஒரு கொள்கலன் ஆர்கெஸ்ட்ரேட்டர் நிறுவலின் போது பயன்படுத்தப்படுகிறது, இது கொள்கலன்களை ஒன்றோடொன்று இணைக்கும் ஒரு மெய்நிகர் நெட்வொர்க்கை உருவாக்க உங்களை அனுமதிக்கிறது. இந்த அடிப்படை நெட்வொர்க் செயல்பாட்டிற்கு கூடுதலாக, காலிகோ திட்டம் குபெர்னெட்ஸ் நெட்வொர்க் கொள்கைகள் மற்றும் அதன் சொந்த நெட்வொர்க் பாதுகாப்பு சுயவிவரங்களுடன் செயல்படுகிறது, எண்ட்பாயிண்ட் ACLs (அணுகல் கட்டுப்பாடு பட்டியல்கள்) மற்றும் நுழைவு மற்றும் வெளியேறும் போக்குவரத்திற்கான சிறுகுறிப்பு அடிப்படையிலான பிணைய பாதுகாப்பு விதிகளை ஆதரிக்கிறது.

சிலியம்

• வலைத்தளம்: www.cilium.io
• உரிமம்: இலவசம் (அப்பாச்சி)

சிலியம், கண்டெய்னர்களுக்கு ஒரு ஃபயர்வாலாகச் செயல்படுவதுடன், குபர்நெட்டஸ் மற்றும் மைக்ரோசர்வீசஸ் பணிச்சுமைகளுக்காக இயல்பாகவே வடிவமைக்கப்பட்ட பிணையப் பாதுகாப்பு அம்சங்களையும் வழங்குகிறது. சிலியம் புதிய மையத் தொழில்நுட்பத்தைப் பயன்படுத்துகிறது. Linux தரவுகளை வடிகட்டுவதற்கும், கண்காணிப்பதற்கும், திசைதிருப்புவதற்கும் மற்றும் திருத்துவதற்கும் பயன்படும் BPF (பெர்க்லி பாக்கெட் ஃபில்டர்) என இது அழைக்கப்படுகிறது.

டோக்கர் அல்லது குபெர்னெட்ஸ் லேபிள்கள் மற்றும் மெட்டாடேட்டாவைப் பயன்படுத்தி கண்டெய்னர் ஐடிகளின் அடிப்படையில் நெட்வொர்க் அணுகல் கொள்கைகளை வரிசைப்படுத்த Cilium திறன் கொண்டது. சிலியம் HTTP அல்லது gRPC போன்ற பல்வேறு அடுக்கு 7 நெறிமுறைகளைப் புரிந்துகொண்டு வடிகட்டுகிறது, எடுத்துக்காட்டாக, இரண்டு குபெர்னெட்ஸ் வரிசைப்படுத்தல்களுக்கு இடையில் அனுமதிக்கப்படும் REST அழைப்புகளின் தொகுப்பை வரையறுக்க உங்களை அனுமதிக்கிறது.

இஸ்டியோ

• வலைத்தளம்: istio.io
• உரிமம்: இலவசம் (அப்பாச்சி)

இயங்குதளம்-சுயாதீனமான கட்டுப்பாட்டு விமானத்தைப் பயன்படுத்துவதன் மூலம் சேவை மெஷ் முன்னுதாரணத்தை செயல்படுத்துவதில் இஸ்டியோ பரவலாக அறியப்படுகிறது மற்றும் மாறும் வகையில் உள்ளமைக்கக்கூடிய என்வாய் ப்ராக்ஸிகள் மூலம் நிர்வகிக்கப்படும் அனைத்து சேவை போக்குவரத்தையும் வழிநடத்துகிறது. பல்வேறு நெட்வொர்க் பாதுகாப்பு உத்திகளைச் செயல்படுத்த அனைத்து மைக்ரோ சர்வீஸ்கள் மற்றும் கொள்கலன்களின் இந்த மேம்பட்ட பார்வையை இஸ்டியோ பயன்படுத்திக் கொள்கிறது.

மைக்ரோ சர்வீஸ்களுக்கு இடையேயான தகவல்தொடர்புகளை HTTPS க்கு தானாக மேம்படுத்த வெளிப்படையான TLS குறியாக்கம் மற்றும் கிளஸ்டரில் உள்ள பல்வேறு பணிச்சுமைகளுக்கு இடையே தகவல் பரிமாற்றத்தை அனுமதிக்க/மறுக்க தனியுரிம RBAC அடையாளம் மற்றும் அங்கீகார அமைப்பு ஆகியவை இஸ்டியோவின் நெட்வொர்க் பாதுகாப்பு திறன்களில் அடங்கும்.

குறிப்பு. மொழிபெயர்: இஸ்டியோவின் பாதுகாப்பு-மையப்படுத்தப்பட்ட திறன்களைப் பற்றி மேலும் அறிய, படிக்கவும் இந்த கட்டுரையில்.

புலி

• வலைத்தளம்: www.tigera.io
• உரிமம்: வணிக

"குபெர்னெட்ஸ் ஃபயர்வால்" என்று அழைக்கப்படும் இந்த தீர்வு பிணைய பாதுகாப்பிற்கான பூஜ்ஜிய நம்பிக்கை அணுகுமுறையை வலியுறுத்துகிறது.

பிற நேட்டிவ் குபெர்னெட்ஸ் நெட்வொர்க்கிங் தீர்வுகளைப் போலவே, டைகேராவும் கிளஸ்டரில் உள்ள பல்வேறு சேவைகள் மற்றும் பொருட்களை அடையாளம் காண மெட்டாடேட்டாவை நம்பியுள்ளது மற்றும் இயக்க நேர சிக்கல் கண்டறிதல், தொடர்ச்சியான இணக்கச் சரிபார்ப்பு மற்றும் மல்டி கிளவுட் அல்லது ஹைப்ரிட் மோனோலிதிக்-கன்டெய்னரைஸ்டு உள்கட்டமைப்புகளுக்கான நெட்வொர்க் தெரிவுநிலை ஆகியவற்றை வழங்குகிறது.

டிரிரேம்

• வலைத்தளம்: www.aporeto.com/opensource
• உரிமம்: இலவசம் (அப்பாச்சி)

Trireme-Kubernetes — это простая и понятная реализация спецификации Kubernetes Network Policies. Самой примечательной особенностью является то, что — в отличие от похожих продуктов для сетевой безопасности Kubernetes — оно не требует центральной control plane для координации сетки (mesh). Это делает решение тривиально масштабируемым. В Trireme это достигается путем установки агента на каждый узел, который напрямую подключается к TCP/IP-стеку хоста.

பட பரப்புதல் மற்றும் இரகசிய மேலாண்மை

கிராஃபியாஸ்

• வலைத்தளம்: grafeas.io
• உரிமம்: இலவசம் (அப்பாச்சி)

Grafeas என்பது மென்பொருள் விநியோகச் சங்கிலி தணிக்கை மற்றும் நிர்வாகத்திற்கான ஒரு திறந்த மூல API ஆகும். அடிப்படை மட்டத்தில், கிராஃபியாஸ் என்பது மெட்டாடேட்டா மற்றும் தணிக்கை கண்டுபிடிப்புகளை சேகரிப்பதற்கான ஒரு கருவியாகும். ஒரு நிறுவனத்திற்குள் பாதுகாப்பு சிறந்த நடைமுறைகளுடன் இணங்குவதைக் கண்காணிக்க இது பயன்படுத்தப்படலாம்.

இந்த மையப்படுத்தப்பட்ட உண்மை ஆதாரம் போன்ற கேள்விகளுக்கு பதிலளிக்க உதவுகிறது:

• ஒரு குறிப்பிட்ட கொள்கலனை சேகரித்து கையெழுத்திட்டது யார்?
• பாதுகாப்புக் கொள்கைக்குத் தேவையான அனைத்து பாதுகாப்பு ஸ்கேன்கள் மற்றும் காசோலைகளை இது கடந்துவிட்டதா? எப்பொழுது? முடிவுகள் என்ன?
• அதை உற்பத்திக்கு அனுப்பியது யார்? வரிசைப்படுத்தலின் போது என்ன குறிப்பிட்ட அளவுருக்கள் பயன்படுத்தப்பட்டன?

இன்-டூடோ

• வலைத்தளம்: in-toto.github.io
• உரிமம்: இலவசம் (அப்பாச்சி)

In-toto என்பது முழு மென்பொருள் விநியோகச் சங்கிலியின் ஒருமைப்பாடு, அங்கீகாரம் மற்றும் தணிக்கை ஆகியவற்றை வழங்க வடிவமைக்கப்பட்ட ஒரு கட்டமைப்பாகும். ஒரு உள்கட்டமைப்பில் இன்-டூட்டோவைப் பயன்படுத்தும்போது, ​​பைப்லைனில் உள்ள பல்வேறு படிகள் (களஞ்சியம், CI/CD கருவிகள், QA கருவிகள், கலைப்பொருள் சேகரிப்பாளர்கள் போன்றவை) மற்றும் பயனர்கள் (பொறுப்பான நபர்கள்) ஆகியவற்றை விவரிக்கும் திட்டம் முதலில் வரையறுக்கப்படுகிறது. அவற்றைத் தொடங்குங்கள்.

திட்டத்தின் செயல்பாட்டினை இன்-டூட்டோ கண்காணிக்கிறது, சங்கிலியில் உள்ள ஒவ்வொரு பணியும் அங்கீகரிக்கப்பட்ட பணியாளர்களால் மட்டுமே சரியாகச் செய்யப்படுகிறது என்பதையும், இயக்கத்தின் போது தயாரிப்புடன் அங்கீகரிக்கப்படாத கையாளுதல்கள் எதுவும் மேற்கொள்ளப்படவில்லை என்பதையும் சரிபார்க்கிறது.

போர்டீரிஸ்

• வலைத்தளம்: github.com/IBM/portieris
• உரிமம்: இலவசம் (அப்பாச்சி)

போர்டீரிஸ் என்பது குபெர்னெட்டஸின் சேர்க்கை கட்டுப்பாட்டாளர்; உள்ளடக்க நம்பிக்கைச் சோதனைகளைச் செயல்படுத்தப் பயன்படுகிறது. போர்டீரிஸ் ஒரு சேவையகத்தைப் பயன்படுத்துகிறார் நோட்டரி (இறுதியில் அவரைப் பற்றி எழுதினோம் இந்த கட்டுரை - தோராயமாக மொழிபெயர்ப்பு) நம்பகமான மற்றும் கையொப்பமிடப்பட்ட கலைப்பொருட்களை (அதாவது அங்கீகரிக்கப்பட்ட கொள்கலன் படங்கள்) சரிபார்க்க உண்மையின் ஆதாரமாக.

Kubernetes இல் பணிச்சுமை உருவாக்கப்படும்போது அல்லது மாற்றப்படும்போது, ​​கோரப்பட்ட கொள்கலன் படங்களுக்கான கையொப்பம் தகவல் மற்றும் உள்ளடக்க நம்பிக்கைக் கொள்கையை Portieris பதிவிறக்கம் செய்து, தேவைப்பட்டால், JSON API ஆப்ஜெக்ட்டில் அந்த படங்களின் கையொப்பமிடப்பட்ட பதிப்புகளை இயக்கும் போது மாற்றங்களைச் செய்கிறது.

வால்ட்

• வலைத்தளம்: www.vaultproject.io
• உரிமம்: இலவசம் (எம்பிஎல்)

வால்ட் என்பது தனிப்பட்ட தகவல்களைச் சேமிப்பதற்கான பாதுகாப்பான தீர்வாகும்: கடவுச்சொற்கள், OAuth டோக்கன்கள், PKI சான்றிதழ்கள், அணுகல் கணக்குகள், குபெர்னெட்ஸ் ரகசியங்கள் போன்றவை. எபிமரல் பாதுகாப்பு டோக்கன்களை குத்தகைக்கு எடுப்பது அல்லது முக்கிய சுழற்சியை ஒழுங்கமைப்பது போன்ற பல மேம்பட்ட அம்சங்களை வால்ட் ஆதரிக்கிறது.

ஹெல்ம் விளக்கப்படத்தைப் பயன்படுத்தி, குபெர்னெட்ஸ் கிளஸ்டரில் வால்ட் ஒரு புதிய வரிசைப்படுத்துதலாக கன்சல் பின்தள சேமிப்பகமாக பயன்படுத்தப்படலாம். இது ServiceAccount டோக்கன்கள் போன்ற நேட்டிவ் குபெர்னெட்ஸ் ஆதாரங்களை ஆதரிக்கிறது மேலும் குபெர்னெட்ஸ் ரகசியங்களுக்கான இயல்புநிலை ஸ்டோராகவும் செயல்பட முடியும்.

குறிப்பு. மொழிபெயர்: மூலம், நேற்று தான் HashiCorp, வால்ட்டை உருவாக்குகிறது, Kubernetes இல் வால்ட்டைப் பயன்படுத்துவதற்கான சில மேம்பாடுகளை அறிவித்தது, குறிப்பாக அவை ஹெல்ம் விளக்கப்படத்துடன் தொடர்புடையவை. மேலும் படிக்கவும் வலைப்பதிவு ராஸ்ரபோட்ச்சிகா.

குபெர்னெட்ஸ் பாதுகாப்பு தணிக்கை

குபே-பெஞ்ச்

• வலைத்தளம்: github.com/aquasecurity/kube-bench
• உரிமம்: இலவசம் (அப்பாச்சி)

குபே-பெஞ்ச் என்பது ஒரு Go பயன்பாடாகும் சிஐஎஸ் குபெர்னெட்ஸ் பெஞ்ச்மார்க்.

க்ளஸ்டர் கூறுகள் (etcd, API, கட்டுப்படுத்தி மேலாளர், முதலியன), சந்தேகத்திற்குரிய கோப்பு அணுகல் உரிமைகள், பாதுகாப்பற்ற கணக்குகள் அல்லது திறந்த போர்ட்கள், ஆதார ஒதுக்கீடுகள், DoS தாக்குதல்களுக்கு எதிராகப் பாதுகாப்பதற்காக API அழைப்புகளின் எண்ணிக்கையைக் கட்டுப்படுத்துவதற்கான அமைப்புகள் ஆகியவற்றில் பாதுகாப்பற்ற உள்ளமைவு அமைப்புகளை Kube-bench தேடுகிறது. , முதலியன

குபே-வேட்டைக்காரன்

• வலைத்தளம்: github.com/aquasecurity/kube-hunter
• உரிமம்: இலவசம் (அப்பாச்சி)

குபெர்னெட்டஸ் கிளஸ்டர்களில் சாத்தியமான பாதிப்புகளை (ரிமோட் குறியீடு செயல்படுத்துதல் அல்லது தரவு வெளிப்படுத்துதல் போன்றவை) Kube-hunter வேட்டையாடுகிறது. க்யூப்-ஹன்டரை ரிமோட் ஸ்கேனராக இயக்கலாம் - அப்படியானால், மூன்றாம் தரப்பு தாக்குபவர்களின் பார்வையில் இருந்து கிளஸ்டரை மதிப்பிடும் - அல்லது கிளஸ்டருக்குள் ஒரு பாடாக.

Kube-hunter இன் ஒரு தனித்துவமான அம்சம் அதன் “செயலில் வேட்டையாடும்” பயன்முறையாகும், இதன் போது இது சிக்கல்களைப் புகாரளிப்பது மட்டுமல்லாமல், அதன் செயல்பாட்டிற்கு தீங்கு விளைவிக்கும் இலக்கு கிளஸ்டரில் கண்டறியப்பட்ட பாதிப்புகளைப் பயன்படுத்தவும் முயற்சிக்கிறது. எனவே எச்சரிக்கையுடன் பயன்படுத்தவும்!

குப்ஆடிட்

• வலைத்தளம்: github.com/Shopify/kubeaudit
• உரிமம்: இலவசம் (எம்ஐடி)

Kubeaudit என்பது பல்வேறு பாதுகாப்புச் சிக்கல்களுக்கு Kubernetes உள்ளமைவைத் தணிக்கை செய்ய முதலில் Shopify இல் உருவாக்கப்பட்ட ஒரு கன்சோல் கருவியாகும். எடுத்துக்காட்டாக, கட்டுப்பாடில்லாமல் இயங்கும், ரூட்டாக இயங்கும், சிறப்புரிமைகளை தவறாகப் பயன்படுத்துதல் அல்லது இயல்புநிலை சேவைக் கணக்கைப் பயன்படுத்துதல் போன்ற கண்டெய்னர்களைக் கண்டறிய இது உதவுகிறது.

Kubeaudit மற்ற சுவாரஸ்யமான அம்சங்களைக் கொண்டுள்ளது. எடுத்துக்காட்டாக, இது உள்ளூர் YAML கோப்புகளைப் பகுப்பாய்வு செய்யலாம், பாதுகாப்புச் சிக்கல்களுக்கு வழிவகுக்கும் உள்ளமைவு குறைபாடுகளைக் கண்டறிந்து அவற்றைத் தானாகவே சரிசெய்யலாம்.

குபேசெக்

• வலைத்தளம்: kubesec.io
• உரிமம்: இலவசம் (அப்பாச்சி)

Kubesec என்பது ஒரு சிறப்புக் கருவியாகும், இது Kubernetes ஆதாரங்களை விவரிக்கும் YAML கோப்புகளை நேரடியாக ஸ்கேன் செய்து, பாதுகாப்பைப் பாதிக்கக்கூடிய பலவீனமான அளவுருக்களைத் தேடுகிறது.

எடுத்துக்காட்டாக, இது ஒரு பாட்க்கு வழங்கப்பட்ட அதிகப்படியான சலுகைகள் மற்றும் அனுமதிகளைக் கண்டறியும், இயல்புநிலை பயனராக ரூட்டுடன் ஒரு கொள்கலனை இயக்குதல், ஹோஸ்டின் நெட்வொர்க் பெயர்வெளியுடன் இணைத்தல் அல்லது போன்ற ஆபத்தான மவுண்ட்கள் /proc ஹோஸ்ட் அல்லது டோக்கர் சாக்கெட். Kubesec இன் மற்றொரு சுவாரஸ்யமான அம்சம் ஆன்லைனில் கிடைக்கும் டெமோ சேவையாகும், இதில் நீங்கள் YAML ஐ பதிவேற்றி உடனடியாக பகுப்பாய்வு செய்யலாம்.

கொள்கை முகவரைத் திறக்கவும்

• வலைத்தளம்: www.openpolicyagent.org
• உரிமம்: இலவசம் (அப்பாச்சி)

OPA (Open Policy Agent) கருத்து என்பது ஒரு குறிப்பிட்ட இயக்க நேர தளத்திலிருந்து பாதுகாப்பு கொள்கைகள் மற்றும் பாதுகாப்பு சிறந்த நடைமுறைகளை துண்டிப்பதாகும்: Docker, Kubernetes, Mesosphere, OpenShift அல்லது அதன் கலவையாகும்.

எடுத்துக்காட்டாக, குபெர்னெட்ஸ் அட்மிஷன் கன்ட்ரோலருக்கான பின்தளமாக OPA ஐப் பயன்படுத்தலாம், பாதுகாப்பு முடிவுகளை அதற்கு வழங்கலாம். இந்த வழியில், OPA முகவர் குறிப்பிட்ட பாதுகாப்பு அளவுருக்கள் பூர்த்தி செய்யப்படுவதை உறுதிசெய்து, பறக்கும்போது கோரிக்கைகளை சரிபார்க்கலாம், நிராகரிக்கலாம் மற்றும் மாற்றலாம். OPA இன் பாதுகாப்புக் கொள்கைகள் அதன் தனியுரிம DSL மொழியான ரெகோவில் எழுதப்பட்டுள்ளன.

குறிப்பு. மொழிபெயர்: OPA (மற்றும் SPIFFE) பற்றி மேலும் எழுதினோம் இந்த பொருள்.

குபெர்னெட்ஸ் பாதுகாப்பு பகுப்பாய்வுக்கான விரிவான வணிகக் கருவிகள்

வணிகத் தளங்களுக்கான தனி வகையை உருவாக்க முடிவு செய்தோம், ஏனெனில் அவை பொதுவாக பல பாதுகாப்புப் பகுதிகளை உள்ளடக்கும். அவர்களின் திறன்களைப் பற்றிய பொதுவான யோசனையை அட்டவணையில் இருந்து பெறலாம்:

* மேம்பட்ட பரிசோதனை மற்றும் முழுமையான பிரேத பரிசோதனை கணினி அழைப்பு கடத்தல்.

அக்வா பாதுகாப்பு

• வலைத்தளம்: www.aquasec.com
• உரிமம்: வணிக

இந்த வணிகக் கருவி கொள்கலன்கள் மற்றும் கிளவுட் பணிச்சுமைகளுக்காக வடிவமைக்கப்பட்டுள்ளது. இது வழங்குகிறது:

• கன்டெய்னர் ரெஜிஸ்ட்ரி அல்லது CI/CD பைப்லைனுடன் ஒருங்கிணைக்கப்பட்ட பட ஸ்கேனிங்;
• கொள்கலன்களில் மாற்றங்கள் மற்றும் பிற சந்தேகத்திற்கிடமான செயல்பாடுகளுக்கான தேடலுடன் இயக்க நேர பாதுகாப்பு;
• கொள்கலன்-சொந்த ஃபயர்வால்;
• கிளவுட் சேவைகளில் சர்வர் இல்லாதவர்களுக்கான பாதுகாப்பு;
• இணங்குதல் சோதனை மற்றும் தணிக்கை நிகழ்வு பதிவுடன் இணைந்து.

குறிப்பு. மொழிபெயர்: உள்ளன என்பதும் குறிப்பிடத்தக்கது என்று அழைக்கப்படும் பொருளின் இலவச கூறு மைக்ரோ ஸ்கேனர், இது பாதிப்புகளுக்கு கண்டெய்னர் படங்களை ஸ்கேன் செய்ய உங்களை அனுமதிக்கிறது. கட்டண பதிப்புகளுடன் அதன் திறன்களின் ஒப்பீடு வழங்கப்படுகிறது இந்த அட்டவணை.

காப்ஸ்யூல்8

• வலைத்தளம்: capsule8.com
• உரிமம்: வணிக

லோக்கல் அல்லது கிளவுட் குபெர்னெட்ஸ் கிளஸ்டரில் டிடெக்டரை நிறுவுவதன் மூலம் காப்ஸ்யூல்8 உள்கட்டமைப்பில் ஒருங்கிணைக்கிறது. இந்த டிடெக்டர் ஹோஸ்ட் மற்றும் நெட்வொர்க் டெலிமெட்ரியை சேகரிக்கிறது, இது பல்வேறு வகையான தாக்குதல்களுடன் தொடர்புபடுத்துகிறது.

கேப்சூல்8 குழு அதன் பணியை முன்கூட்டியே கண்டறிதல் மற்றும் புதியவற்றைப் பயன்படுத்தி தாக்குதல்களைத் தடுப்பதாகும் (0-நாள்) பாதிப்புகள். புதிதாக கண்டுபிடிக்கப்பட்ட அச்சுறுத்தல்கள் மற்றும் மென்பொருள் பாதிப்புகளுக்கு பதிலளிக்கும் வகையில், கேப்சூல்8 மேம்படுத்தப்பட்ட பாதுகாப்பு விதிகளை டிடெக்டர்களுக்கு நேரடியாக பதிவிறக்கம் செய்யலாம்.

காவிரின்

• வலைத்தளம்: www.cavirin.com
• உரிமம்: வணிக

பாதுகாப்புத் தரங்களில் ஈடுபட்டுள்ள பல்வேறு ஏஜென்சிகளுக்கு கேவிரின் நிறுவனம் பக்க ஒப்பந்ததாரராக செயல்படுகிறது. இது படங்களை ஸ்கேன் செய்வது மட்டுமல்லாமல், CI/CD பைப்லைனிலும் ஒருங்கிணைத்து, மூடிய களஞ்சியங்களுக்குள் நுழைவதற்கு முன் தரமற்ற படங்களைத் தடுக்கும்.

கேவிரின் பாதுகாப்புத் தொகுப்பு உங்கள் இணையப் பாதுகாப்பு நிலையை மதிப்பிடுவதற்கு இயந்திரக் கற்றலைப் பயன்படுத்துகிறது, பாதுகாப்பை மேம்படுத்துவதற்கும் பாதுகாப்புத் தரங்களுக்கு இணங்குவதை மேம்படுத்துவதற்கும் உதவிக்குறிப்புகளை வழங்குகிறது.

Google Cloud Security Command Center

• வலைத்தளம்: cloud.google.com/security-command-center
• உரிமம்: வணிக

கிளவுட் செக்யூரிட்டி கமாண்ட் சென்டர் பாதுகாப்பு குழுக்களுக்கு தரவைச் சேகரிக்கவும், அச்சுறுத்தல்களைக் கண்டறியவும், நிறுவனத்திற்கு தீங்கு விளைவிக்கும் முன் அவற்றை அகற்றவும் உதவுகிறது.

பெயர் குறிப்பிடுவது போல, Google Cloud SCC என்பது ஒரு ஒருங்கிணைந்த கட்டுப்பாட்டுப் பலகமாகும், இது பலவிதமான பாதுகாப்பு அறிக்கைகள், சொத்துக் கணக்கியல் இயந்திரங்கள் மற்றும் மூன்றாம் தரப்பு பாதுகாப்பு அமைப்புகளை ஒரே மையப்படுத்தப்பட்ட மூலத்திலிருந்து ஒருங்கிணைத்து நிர்வகிக்க முடியும்.

Google Cloud SCC வழங்கும் இயங்கக்கூடிய API ஆனது Sysdig Secure (கிளவுட்-நேட்டிவ் பயன்பாடுகளுக்கான கொள்கலன் பாதுகாப்பு) அல்லது Falco (திறந்த மூல இயக்க நேர பாதுகாப்பு) போன்ற பல்வேறு ஆதாரங்களில் இருந்து வரும் பாதுகாப்பு நிகழ்வுகளை ஒருங்கிணைப்பதை எளிதாக்குகிறது.

அடுக்கு நுண்ணறிவு (குவாலிஸ்)

• வலைத்தளம்: layeredinsight.com
• உரிமம்: வணிக

லேயர்டு இன்சைட் (இப்போது குவாலிஸ் இன்க் இன் ஒரு பகுதி) "உட்பொதிக்கப்பட்ட பாதுகாப்பு" என்ற கருத்தின் அடிப்படையில் கட்டமைக்கப்பட்டுள்ளது. புள்ளியியல் பகுப்பாய்வு மற்றும் CVE சரிபார்ப்புகளைப் பயன்படுத்தி பாதிப்புகளுக்கு அசல் படத்தை ஸ்கேன் செய்த பிறகு, லேயர்டு இன்சைட் அதை பைனரியாக முகவரை உள்ளடக்கிய ஒரு கருவிப் படத்துடன் மாற்றுகிறது.

இந்த ஏஜெண்டில் கண்டெய்னர் நெட்வொர்க் ட்ராஃபிக், I/O ஃப்ளோக்கள் மற்றும் அப்ளிகேஷன் செயல்பாடு ஆகியவற்றை பகுப்பாய்வு செய்வதற்கான இயக்க நேர பாதுகாப்பு சோதனைகள் உள்ளன. கூடுதலாக, இது உள்கட்டமைப்பு நிர்வாகி அல்லது DevOps குழுக்களால் குறிப்பிடப்பட்ட கூடுதல் பாதுகாப்பு சோதனைகளைச் செய்ய முடியும்.

நியூவெக்டர்

• வலைத்தளம்: neuvector.com
• உரிமம்: வணிக

NeuVector கொள்கலன் பாதுகாப்பை சரிபார்க்கிறது மற்றும் நெட்வொர்க் செயல்பாடு மற்றும் பயன்பாட்டு நடத்தையை பகுப்பாய்வு செய்வதன் மூலம் இயக்க நேர பாதுகாப்பை வழங்குகிறது, ஒவ்வொரு கொள்கலனுக்கும் தனிப்பட்ட பாதுகாப்பு சுயவிவரத்தை உருவாக்குகிறது. உள்ளூர் ஃபயர்வால் விதிகளை மாற்றுவதன் மூலம் சந்தேகத்திற்கிடமான செயல்பாட்டைத் தனிமைப்படுத்தி, அச்சுறுத்தல்களைத் தானாகவே தடுக்கலாம்.

செக்யூரிட்டி மெஷ் என அழைக்கப்படும் நியூவெக்டரின் நெட்வொர்க் ஒருங்கிணைப்பு, சேவை மெஷில் உள்ள அனைத்து நெட்வொர்க் இணைப்புகளுக்கும் ஆழமான பாக்கெட் பகுப்பாய்வு மற்றும் லேயர் 7 வடிகட்டல் திறன் கொண்டது.

ஸ்டாக்ராக்ஸ்

• வலைத்தளம்: www.stackrox.com
• உரிமம்: வணிக

ஸ்டாக்ராக்ஸ் கொள்கலன் பாதுகாப்பு தளமானது குபெர்னெட்டஸ் பயன்பாடுகளின் முழு வாழ்க்கைச் சுழற்சியையும் ஒரு கிளஸ்டரில் மறைக்க முயற்சிக்கிறது. இந்தப் பட்டியலில் உள்ள மற்ற வணிகத் தளங்களைப் போலவே, StackRox ஆனது கவனிக்கப்பட்ட கொள்கலன் நடத்தையின் அடிப்படையில் இயக்க நேர சுயவிவரத்தை உருவாக்குகிறது மற்றும் ஏதேனும் விலகல்களுக்கு தானாகவே அலாரத்தை எழுப்புகிறது.

கூடுதலாக, StackRox, Kubernetes CIS மற்றும் பிற விதிப்புத்தகங்களைப் பயன்படுத்தி கொள்கலன் இணக்கத்தை மதிப்பிடுவதற்கு Kubernetes கட்டமைப்புகளை பகுப்பாய்வு செய்கிறது.

சிஸ்டிக் செக்யூர்

• வலைத்தளம்: sysdig.com/products/secure
• உரிமம்: வணிக

சிஸ்டிக் செக்யூர் முழு கொள்கலன் மற்றும் குபெர்னெட்ஸ் வாழ்க்கைச் சுழற்சி முழுவதும் பயன்பாடுகளைப் பாதுகாக்கிறது. அவர் படங்களை ஸ்கேன் செய்கிறது கொள்கலன்கள், வழங்குகிறது இயக்க நேர பாதுகாப்பு இயந்திர கற்றல் தரவு படி, கிரீம் செய்கிறது. பாதிப்புகளை அடையாளம் காண நிபுணத்துவம், அச்சுறுத்தல்களைத் தடுக்கிறது, கண்காணிப்பாளர்கள் நிறுவப்பட்ட தரநிலைகளுக்கு இணங்குதல் மற்றும் மைக்ரோ சர்வீஸில் செயல்பாடுகளை தணிக்கை செய்கிறது.

Sysdig Secure ஆனது ஜென்கின்ஸ் போன்ற CI/CD கருவிகளுடன் ஒருங்கிணைக்கிறது மற்றும் Docker பதிவேட்டில் இருந்து ஏற்றப்படும் படங்களைக் கட்டுப்படுத்துகிறது, தயாரிப்பில் ஆபத்தான படங்கள் தோன்றுவதைத் தடுக்கிறது. இது விரிவான இயக்க நேர பாதுகாப்பையும் வழங்குகிறது, உட்பட:

• ML அடிப்படையிலான இயக்க நேர விவரக்குறிப்பு மற்றும் ஒழுங்கின்மை கண்டறிதல்;
• கணினி நிகழ்வுகள், K8s-ஆடிட் API, கூட்டு சமூக திட்டங்கள் (FIM - கோப்பு ஒருமைப்பாடு கண்காணிப்பு; கிரிப்டோஜாக்கிங்) மற்றும் கட்டமைப்பின் அடிப்படையிலான இயக்க நேரக் கொள்கைகள் MITER ATT&CK;
• சம்பவங்களின் பதில் மற்றும் தீர்வு.

டெனபிள் கொள்கலன் பாதுகாப்பு

• வலைத்தளம்: www.tenable.com/products/tenable-io/container-security
• உரிமம்: வணிக

கன்டெய்னர்கள் வருவதற்கு முன்பு, டெனபிள் நிறுவனம் நெசஸின் பின்னால் உள்ள நிறுவனமாக பரவலாக அறியப்பட்டது, இது ஒரு பிரபலமான பாதிப்பு வேட்டை மற்றும் பாதுகாப்பு தணிக்கைக் கருவியாகும்.

டெனபிள் கன்டெய்னர் செக்யூரிட்டியானது, CI/CD பைப்லைனை பாதிப்பு தரவுத்தளங்கள், சிறப்பு தீம்பொருள் கண்டறிதல் தொகுப்புகள் மற்றும் பாதுகாப்பு அச்சுறுத்தல்களைத் தீர்ப்பதற்கான பரிந்துரைகளுடன் ஒருங்கிணைக்க நிறுவனத்தின் கணினி பாதுகாப்பு நிபுணத்துவத்தை மேம்படுத்துகிறது.

ட்விஸ்ட்லாக் (பாலோ ஆல்டோ நெட்வொர்க்குகள்)

• வலைத்தளம்: www.twistlock.com
• உரிமம்: வணிக

கிளவுட் சேவைகள் மற்றும் கொள்கலன்களில் கவனம் செலுத்தும் தளமாக Twistlock தன்னை விளம்பரப்படுத்துகிறது. Twistlock பல்வேறு கிளவுட் வழங்குநர்கள் (AWS, Azure, GCP), கன்டெய்னர் ஆர்கெஸ்ட்ரேட்டர்கள் (Kubernetes, Mesospehere, OpenShift, Docker), சர்வர்லெஸ் இயக்க நேரங்கள், மெஷ் கட்டமைப்புகள் மற்றும் CI/CD கருவிகளை ஆதரிக்கிறது.

CI/CD பைப்லைன் ஒருங்கிணைப்பு அல்லது பட ஸ்கேனிங் போன்ற வழக்கமான நிறுவன-தர பாதுகாப்பு நுட்பங்களுடன், Twistlock கொள்கலன்-குறிப்பிட்ட நடத்தை முறைகள் மற்றும் நெட்வொர்க் விதிகளை உருவாக்க இயந்திர கற்றலைப் பயன்படுத்துகிறது.

சில காலத்திற்கு முன்பு, Evident.io மற்றும் RedLock திட்டங்களுக்குச் சொந்தமான பாலோ ஆல்டோ நெட்வொர்க்குகளால் Twistlock வாங்கப்பட்டது. இந்த மூன்று தளங்களும் எவ்வாறு சரியாக ஒருங்கிணைக்கப்படும் என்பது இன்னும் தெரியவில்லை Prisma பாலோ ஆல்டோவிலிருந்து.

குபெர்னெட்ஸ் பாதுகாப்பு கருவிகளின் சிறந்த பட்டியலை உருவாக்க உதவுங்கள்!

இந்த பட்டியலை முடிந்தவரை முழுமையாக்க நாங்கள் முயற்சி செய்கிறோம், இதற்கு உங்கள் உதவி தேவை! எங்களை தொடர்பு கொள்ள (@sysdig) இந்தப் பட்டியலில் சேர்க்கத் தகுதியான ஒரு சிறந்த கருவியை நீங்கள் மனதில் வைத்திருந்தால் அல்லது பிழை/காலாவதியான தகவலைக் கண்டால்.

நீங்கள் எங்களுடைய குழுவிற்கும் குழுசேரலாம் மாதாந்திர செய்திமடல் கிளவுட்-நேட்டிவ் சுற்றுச்சூழல் அமைப்பிலிருந்து வரும் செய்திகள் மற்றும் குபெர்னெட்ஸ் பாதுகாப்பு உலகில் இருந்து சுவாரஸ்யமான திட்டங்கள் பற்றிய கதைகள்.

மொழிபெயர்ப்பாளரிடமிருந்து பி.எஸ்

எங்கள் வலைப்பதிவிலும் படிக்கவும்:

• «பாதுகாப்பு நிபுணர்களுக்கான குபெர்னெட்ஸ் நெட்வொர்க் கொள்கைகளுக்கு ஒரு அறிமுகம்";
• «பாதுகாப்பு கோரும் சூழலில் டோக்கர் மற்றும் குபெர்னெட்ஸ்";
• «குபெர்னெட்ஸ் பாதுகாப்பிற்கான 9 சிறந்த நடைமுறைகள்";
• «குபெர்னெட்ஸ் ஹேக்கின் பலியாக (இல்லை) 11 வழிகள்";
• «OPA மற்றும் SPIFFE ஆகியவை CNCF இல் கிளவுட் அப்ளிகேஷன் பாதுகாப்பிற்கான இரண்டு புதிய திட்டங்களாகும்".

ஆதாரம்: www.habr.com